二零零九年十二月二十一日

HIPAA目标
Selena Chavis著
郑重声明
第21卷第24页

更强的执法、更严格的审查和更大的覆盖范围——这些都是HITECH法案的一部分，旨在提高受保护实体如何处理受保护健康信息(PHI)安全的标准。

而对听写和抄写练习的影响预计将成为这项努力的焦点。但根据许多医疗保健专业人员的说法，将更多的HIPAA遵从性工作放在口述和转录程序上可能是许多医疗保健提供者及其附属合作伙伴的新关注点。beplay最新备用网站

总部位于俄亥俄州的医疗口述和文档管理软件公司Dolbey Systems的副总裁克里斯•卡斯托(Chris Casto)建议，如果受保机构相信所有的健康记录信息都是从口述系统开始的，那么在隐私和安全策略的扩展方面应该没有什么争议。

“对于听写，[许多医疗保健提供者]直到它不起作用时才会考虑它，”他解释说，并补充说，Dolbey的大多数客户都将PHI保护放在首位，但不一定包括健全的听写练习。“这是他们不想处理的另一个令人头疼的问题，但这个领域可能是一个敞开的大门。人们已经做出了很多努力来保护纸质和电子记录……但它(患者信息)都是从口述系统开始的。”

在听写过程中，更多的审查将扩展到转录公司或一般的商业伙伴，因为它与保护健康信息有关。当涉及到与HIPAA相关的刑事和民事处罚时，受保护实体长期处于尴尬境地，HITECH条款将很快扩大这些处罚的范围，包括受保护实体的商业伙伴(ba)。

医疗转录软件提供商MedQuist的首席合规官马克•沙利文表示:“这是一个相当重大的变化。”beplay最新备用网站“以前，对于一家英国航空公司来说，这种义务是通过与承保实体签订的合同间接实现的。没有直接责任。”

总部位于宾夕法尼亚州的M*Modal公司首席运营官Mark Ivie表示，BAs包括第三方公司，如会计师事务所、计费机构、转录公司和其他可能能够从承保实体访问PHI的服务提供商。根据HITECH法案，这些公司现在直接受到HIPAA安全和隐私要求的约束，以及医院、药店和其他HIPAA覆盖实体多年来面临的同样的民事和刑事处罚。在HITECH之前，未能妥善保护患者信息的医疗机构要对所覆盖的实体负责，但他们不会面临联邦处罚。

“现在我们可以直接接受审计和罚款，”艾维指出，并补充说，行业预计执法将变得更加严厉。“除了会有更多的审计之外，没有人知道会有多严重。我读到的文件显示，问题的数量一直在稳步上升。……显然，他们计划变得更加强硬。”

φ敏感性
沙利文表示，转录行业对HIPAA的敏感已经有一段时间了，尤其是在最近的违规事件之后。近年来，许多引人注目的案例都突出了与BAs直接相关的患者隐私问题，导致许多业内人士对处理此类情况的最佳策略感到惊讶。

最著名的案例之一可能是2003年底发生在加州大学旧金山分校(UCSF)医学中心的事件。该组织收到了一封来自一名心怀不满的巴基斯坦转录员的电子邮件，她发誓如果得不到欠款，就把加州大学旧金山分校的医疗档案放到互联网上。转录员在收到一些钱后，第二天收回了她的威胁。

最近,经济时报10月报告说，联合王国的一个机构在印度进行了一次成功的诱捕行动，从一家医疗转录公司购买了一些与健康有关的数据。

Sullivan承认，显然，恶意盗窃和PHI相关活动的意图是存在的，但他认为，发生的主要泄露形式可能是无意的。他指出:“处罚是按照这些原则进行的。”“真正沉重的民事和刑事责任是涉及故意滥用PHI的行为。”

根据HIPAA, PHI是由健康计划、提供商或医疗保健信息交换所创建或接收的有关个人的机密、个人、可识别的健康信息，并以任何形式传输或维护。可识别的意思是阅读此信息的人可以合理地使用它来识别个人。

沙利文说，虽然法案本身没有明确定义，但医疗行业已经确定了18个适用于患者、亲属、雇主或患者家庭成员的PHI标识符。泄露患者信息的潜在危害远远超出了医生记录的医疗状况。

“这不仅仅是马克·沙利文和他的身体状况的问题。这可能是我的社会安全号码，我的保险号码，我的受益人信息，等等。”

更高的风险
HIMSS Analytics最近的一项调查发现，大部分BAs还没有准备好接受新的HITECH规则。事实上，该报告发现，大约三分之一的受访者甚至不知道他们需要遵守HIPAA中的安全和隐私条款，这使得与他们签订合同的医疗保健实体面临巨大风险。

在《HITECH法》之前，每次违反规定的罚款最高为100美元，对所有相同的违反规定的罚款最高为25,000美元。承保的医疗保健提供者、健康计划或信息交换所也可以通过证明其不知道发生了违规行为来阻止实施民事罚款。

新的HITECH条款将加强民事罚款办法，设立分层的罚款数额范围，对所有违反同一条款的行为的最高罚款为150万美元。适用实体不能再禁止对未知违规行为处以民事罚款，除非它在查明后30天内纠正违规行为。

除了更严厉的处罚外，BAs现在还需要报告他们在与受保护实体合作时发现的任何违规行为。

卡斯托说，有了HITECH，医疗服务提供者和助理医生将不得不从不同的角度看待如何处理听写。今后的市场将容不下粗心大意。

他说:“我们的客户将听写系统寄给我们维修是很常见的，而且到处都有PHI。”他补充说，违规通知可能要求客户报告此类活动。“这是个问题;他们只是不去想它。”

Casto还指出，许多外包公司直接在互联网上工作，这使他们自己容易被攻破。他指出:“很多人会感到震惊的是，这些公司中有多少有一个FTP站点是在互联网之外工作的。”

然后是旧的、过时的技术的问题，这些技术不符合更严格的HITECH要求。Casto建议，如果对目前医院和医疗机构使用的听写设备进行调查，可能会发现，上一次对医疗听写系统进行大规模投资是在大约10年前，当时是为了应对Y2K问题。beplay最新备用网站

虽然许多设备已经根据HIPAA的要求进行了升级，但Casto认为，大部分设备都无法满足HITECH的需求。他强调:“那些在90年代末实施的听写系统今天可能仍然有效……但这使它们更容易被破坏。”

就像MedQuist和许多其他BAs和覆盖实体目前实施的政策一样，当涉及PHI违规时，组织也必须采取零容忍政策。

沙利文指出，去年发生在加州大学洛杉矶分校医疗中心的著名案件，13名医院员工被解雇，6人被停职，6名医生因未经授权查看布兰妮·斯皮尔斯的电脑医疗记录而受到纪律处分。

重写协议
Ivie说，迈向HITECH合规的第一步将是被覆盖实体重新审视他们的BA协议，以遵守2010年2月17日的最后beplay最新备用网站期限。受保护的实体可能希望确保协议中的语言反映新的HITECH安全和隐私条款。

虽然目前还没有公布新的标准，也没有就新的广管局协议提出建议，但他指出，这些协议需要包括一些基本措施，包括制定和实施隐私政策、任命隐私专员、定期培训员工，以及建立定期风险评估和审计制度。

沙利文表示，MedQuist正在审查其形式的BA协议，并根据新规定解决客户对现有BA协议的询问:“由于直接责任和更严格的刑事和民事处罚风险，我认为公司需要更加注意和努力确保遵守规定。”beplay最新备用网站

最佳实践:评估风险
MedQuist对抗无意和恶意安全漏洞的主要方法之一是从口述和转录报告中消除PHI。产品管理副总裁克里斯·斯普林(Chris Spring)表示，所有可识别的患者信息都被省略了。

斯普林解释说:“医生不会在报告中规定PHI值。“例如，如果他们碰巧口述了一个病人的名字，那么转录员就会被指示在报告中把它改成‘病人’。”

回到设备和做法过时的问题，Casto指出，Dolbey在风险评估中提出的第一个问题是，“你们还有人使用盒式磁带吗?”虽然这对一些医疗机构来说似乎很了不起，但他说，这种做法仍然相当普遍。

“没有办法加密盒式磁带，”他说，并补充说，跨网络的数据加密应该是一个主要的安全要求。

在医疗行业中仍在使用的还有便携式数字录音机，虽然这些设备比卡式录音机稍微先进一些，但卡斯托指出，医生们随身携带着这些设备，经常会丢失它们。

Casto补充说，集中听写系统的实施是保护患者私人信息的关键，同时还指出，系统应该要求密码和密码更改方案。

“我想说，总的来说，今天大多数听写系统都不是这样工作的，”他说。

事实证明，审计跟踪是处理口述和转录保护PHI的最大挑战。虽然许多系统都提供这种类型的跟踪，但Casto说，医疗机构和医生并不总是按照设计的方式利用这一功能。

卡斯托指出，医生经常会共享密码，很难知道是否有多个用户使用相同的密码。“你需要一些东西让用户经常更改密码，”他补充道。

还有一个问题是如何控制信息的存储方式。“大多数医院使用外包的转录员或在家工作的专业人员，”Casto指出，并强调当这种情况发生时，组织在某种程度上失去了对数据的控制。“音频文件经常从工作电脑发送到家庭电脑。”

Ivie指出，受保机构和BA应该向咨询行业寻求帮助，因为未来联邦政府和受保机构都将对BA协议和做法进行更严格的审查。他说:“HIPAA刚推出时，咨询师很容易找到。“mba仍然可以利用一些仍然存在的知识。”

- Selena Chavis是佛罗里达州的一名自由撰稿人，她的文章经常出现在各种贸易和消费者出版物上，内容涵盖从企业和管理到医疗保健和旅行的所有主题。